extracto sentencia c-748/11 texto conciliado habeas data
DESCRIPTION
Extracto Sentencia C-748/11 Texto conciliado Habeas DataTRANSCRIPT
Fuente: http://corteconstitucional.gov.co/comunicados/No.%2040%20comunicado%2005%20de%20octubre%20de%202011.php
III. EXPEDIENTE PE-032 - SENTENCIA C-748/11 (octubre 6)
M.P. Jorge Ignacio Pretelt Chaljub
Norma revisada
“TEXTO CONCILIADO DEL PROYECTO DE LEY ESTATUTARIA NÚMERO 184 DE 2010 SENADO, 046 DE 2010
CÁMARA
“por la cual se dictan disposiciones generales para la protección de datos personales”
El Congreso de Colombia
DECRETA:
TÍTULO I
OBJETO, ÁMBITO DE APLICACIÓN Y DEFINICIONES
Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que
tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan
recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías
constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a
la información consagrado en el artículo 20 de la misma.
Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente ley
serán aplicables a los datos personales registrados en cualquier base de datos que los haga
susceptibles de tratamiento por entidades de naturaleza pública o privada.
La presente ley aplicará al Tratamiento de datos personales efectuado en territorio colombiano o
cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio
nacional le sea aplicable la legislación colombiana en virtud de normas y tratados
internacionales.
El régimen de protección de datos personales que se establece en la presente ley no será de
aplicación:
a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o
doméstico.
Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de
manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y
Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en
la presente ley.
b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así
como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del
terrorismo.
c) A las bases de datos que tengan como fin y contengan información de inteligencia y
contrainteligencia.
d) A las bases de datos y archivos de información periodística y otros contenidos editoriales.
e) A las bases de datos y archivos regulados por la Ley 1266 de 2008.
f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
Parágrafo. Los principios sobre protección de datos serán aplicables a todas las bases de datos,
incluidas las exceptuadas en el presente artículo, con los límites dispuestos en la presente ley y
sin reñir con los datos que tienen características de estar amparados por la reserva legal. En el
evento que la normatividad especial que regule las bases de datos exceptuadas prevea
principios que tengan en consideración la naturaleza especial de datos, los mismos aplicarán de
manera concurrente a los previstos en la presente ley.
Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el
Tratamiento de datos personales.
b) Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas
naturales determinadas o determinables.
d) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o
en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del
Tratamiento.
e) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o
en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales
como la recolección, almacenamiento, uso, circulación o supresión.
TÍTULO II
PRINCIPIOS RECTORES
Artículo 4°. Principios para el tratamiento de datos personales. En el desarrollo,
interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los
siguientes principios:
a) Principio de legalidad en materia de tratamiento de datos: el tratamiento a que se refiere la
presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las
demás disposiciones que la desarrollen.
b) Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con
la Constitución y la ley, la cual debe ser informada al titular.
c) Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo,
expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin
previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
d) Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos
parciales, incompletos, fraccionados o que induzcan a error.
e) Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a
obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier
momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
f) Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites que se
derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la
Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el
titular y/o por las personas previstas en la presente ley.
Los datos personales, salvo la información pública, no podrán estar disponibles en internet u
otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente
controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados
conforme a la presente ley.
g) Principio de seguridad: la información sujeta a tratamiento por el responsable del
tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar
con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar
seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
h) Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos
personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de
la información, inclusive después de finalizada su relación con alguna de las labores que
comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos
personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente
ley y en los términos de la misma.
TÍTULO III
CATEGORÍAS ESPECIALES DE DATOS
Artículo 5°. Datos sensibles. Para los propósitos de la presente ley, se entiende por datos
sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política,
las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o que garanticen los
derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud,
a la vida sexual y los datos biométricos.
Artículo 6°. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos sensibles,
excepto cuando:
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por
ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se
encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales
deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas
garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de
lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran
exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón
de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la
autorización del Titular.
d) El Tratamiento se refiera a datos que el Titular haya hecho manifiestamente públicos o sean
necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán
adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
Artículo 7°. Derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará
el respeto a los derechos prevalentes de los niños, niñas y adolescentes.
Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo
aquellos datos que sean de naturaleza pública.
Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a
los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los
niños, niñas y adolescentes respecto del Tratamiento indebido de sus datos personales, y
proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y
adolescentes de sus datos personales, su derecho a la privacidad y protección de su
información personal y la de los demás. El Gobierno Nacional reglamentará la materia, dentro
de los seis (6) meses siguientes a la promulgación de esta ley.
TÍTULO IV
DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS
Artículo 8°. Derechos de los titulares. El Titular de los datos personales tendrá los
siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del
Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a
datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo
Tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando
expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto
en el artículo 10 de la presente ley.
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa
solicitud, respecto del uso que le ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo
dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o
complementen.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se
respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o
supresión sólo procederá cuando la Superintendencia de Industria y Comercio haya
determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas
contrarias a esta ley y a la Constitución.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
Artículo 9°. Autorización del titular. Sin perjuicio de las excepciones previstas en la ley, en
el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser
obtenida por cualquier medio que pueda ser objeto de consulta posterior.
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no
será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones
legales o por orden judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o
científicos.
e) Datos relacionados con el Registro Civil de las Personas.
Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso
cumplir con las disposiciones contenidas en la presente ley.
Artículo 11. Suministro de la información. La información solicitada podrá ser suministrada
por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información
deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder
en un todo a aquella que repose en la base de datos.
El Gobierno Nacional establecerá la forma en la cual los Responsables del Tratamiento y
Encargados del Tratamiento deberán suministrar la información del Titular, atendiendo a la
naturaleza del dato personal. Esta reglamentación deberá darse a más tardar dentro del año
siguiente a la promulgación de la presente ley.
Artículo 12. Deber de informar al titular. El Responsable del Tratamiento, al momento de
solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas
versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
c) Los derechos que le asisten como Titular.
d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
Parágrafo. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo
previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta.
Artículo 13. Personas a quienes se les puede suministrar la información . La
información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las
siguientes personas:
a) A los Titulares, sus causahabientes o sus representantes legales.
b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden
judicial.
c) A los terceros autorizados por el Titular o por la ley.
TÍTULO V
PROCEDIMIENTOS
Artículo 14. Consultas. Los Titulares o sus causahabientes podrán consultar la información
personal del Titular que repose en cualquier base de datos, sea esta del sector público o
privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a
estos toda la información contenida en el registro individual o que esté vinculada con la
identificación del Titular.
La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o
Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.
La consulta será atendida en un término máximo de diez (10) días hábiles, contados a partir de
la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho
término, se informará al interesado, expresando los motivos de la demora y señalando la fecha
en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles
siguientes al vencimiento del primer término.
Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por
el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato
personal.
Artículo 15. Reclamos. El Titular o sus causahabientes que consideren que la información
contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o
cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta
ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del
Tratamiento el cual será tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al
Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que
dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si
el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes
a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la
fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá
que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a
quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al
interesado.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga
“reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles.
Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles, contados a
partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo
dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que
se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles
siguientes al vencimiento del primer término.
Artículo 16. Requisito de procedibilidad. El Titular o causahabiente sólo podrá elevar queja
ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta
o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
TÍTULO VI
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO
Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del
Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones
previstas en la presente ley y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data.
b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva
autorización otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le
asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las
demás medidas necesarias para que la información suministrada a este se mantenga
actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del
Tratamiento.
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de
seguridad y privacidad de la información del Titular.
j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos.
l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en
discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado
el trámite respectivo.
m) Informar a solicitud del Titular sobre el uso dado a sus datos.
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos
de seguridad y existan riesgos en la administración de la información de los Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento
deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la
presente ley y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data.
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los
términos de la presente ley.
d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco
(5) días hábiles, contados a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados
en la presente ley.
f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por
parte de los Titulares.
g) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula
en la presente ley.
h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado
por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del
dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a
ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a
los códigos de seguridad y existan riesgos en la administración de la información de los
Titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y
Comercio.
Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y
Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los
deberes previstos para cada uno.
TÍTULO VII
DE LOS MECANISMOS DE VIGILANCIA Y SANCIÓN
CAPÍTULO I
DE LA AUTORIDAD DE PROTECCIÓN DE DATOS
Artículo 19. Autoridad de protección de datos. La Superintendencia de Industria y
Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la
vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios,
derechos, garantías y procedimientos previstos en la presente ley.
Parágrafo 1°. El Gobierno Nacional en el plazo de seis (6) meses, contados a partir de la fecha
de entrada en vigencia de la presente ley incorporará dentro de la estructura de la
Superintendencia de Industria y Comercio un despacho de Superintendente Delegado para
ejercer las funciones de Autoridad de Protección de Datos.
Parágrafo 2°. La vigilancia del tratamiento de los datos personales regulados en la Ley 1266
de 2008 se sujetará a lo previsto en dicha norma.
Artículo 20. Recursos para el ejercicio de sus funciones. La Superintendencia de
Industria y Comercio contará con los siguientes recursos para ejercer las funciones que le son
atribuidas por la presente ley:
a) Las multas que se impongan a los sometidos a vigilancia.
b) Los recursos que le sean destinados en el Presupuesto General de la Nación.
Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las siguientes
funciones:
a) Velar por el cumplimiento de la legislación en materia de protección de datos personales.
b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de
ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data.
Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso
y suministro de los datos, la rectificación, actualización o supresión de los mismos.
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas
por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y
dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.
d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos
personales e implementara campañas pedagógicas para capacitar e informar a los ciudadanos
acerca del ejercicio y garantía del derecho fundamental a la protección de datos.
e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de
las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las
disposiciones previstas en la presente ley.
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que
sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.
h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos
necesarios para su administración y funcionamiento.
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten
acordes con la evolución tecnológica, informática o comunicacional.
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los
derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la
recolección internacional de datos personales.
k) Las demás que le sean asignadas por ley.
CAPÍTULO II
PROCEDIMIENTO Y SANCIONES
Artículo 22. Trámite. La Superintendencia de Industria y Comercio, una vez establecido el
incumplimiento de las disposiciones de la presente ley por parte del Responsable del
Tratamiento o el Encargado del Tratamiento, adoptará las medidas o impondrá las sanciones
correspondientes.
En lo no reglado por la presente ley y los procedimientos correspondientes se seguirán las
normas pertinentes del Código Contencioso Administrativo.
Artículo 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los
Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:
a) Multas de carácter personal e institucional a favor de la Superintendencia de Industria y
Comercio hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales
vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras
subsista el incumplimiento que las originó.
b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis
(6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.
c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el
término de suspensión sin que se hubieren adoptado los correctivos ordenados por la
Superintendencia de Industria y Comercio.
d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos
sensibles.
Parágrafo. Las sanciones indicadas en el presente artículo solo aplican para las personas de
naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio
advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la
presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la
investigación respectiva.
Artículo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que
se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto
resulten aplicables:
a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley.
b) El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de
la infracción.
c) La reincidencia en la comisión de la infracción.
d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la
Superintendencia de Industria y Comercio.
e) La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de
Industria y Comercio.
f) El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de
la infracción antes de la imposición de la sanción a que hubiere lugar.
CAPÍTULO III
DEL REGISTRO NACIONAL DE BASES DE DATOS
Artículo 25. Definición. El Registro Nacional de Bases de Datos es el directorio público
de las bases de datos sujetas a Tratamiento que operan en el país.
El registro será administrado por la Superintendencia de Industria y Comercio y será de
libre consulta para los ciudadanos.
Para realizar el registro de bases de datos, los interesados deberán aportar a la
Superintendencia de Industria y Comercio las políticas de tratamiento de la información,
las cuales obligarán a los responsables y encargados del mismo, y cuyo incumplimiento
acarreará las sanciones correspondientes. Las políticas de Tratamiento en ningún caso
podrán ser inferiores a los deberes contenidos en la presente ley.
Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la
promulgación de la presente ley, la información mínima que debe contener el Registro, y
los términos y condiciones bajo los cuales se deben inscribir en este los Responsables del
Tratamiento.
TÍTULO VIII
TRANSFERENCIA DE DATOS A TERCEROS PAÍSES
Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier
tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende
que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los
estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los
cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus
destinatarios.
Esta prohibición no regirá cuando se trate de:
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e
inequívoca para la transferencia.
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular
por razones de salud o higiene pública.
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte
aplicable.
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la
República de Colombia sea parte, con fundamento en el principio de reciprocidad.
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el
Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y
cuando se cuente con la autorización del Titular.
f) Transferencias necesarias o legalmente exigidas para la salvaguardia del interés
público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso
judicial.
Parágrafo 1°. En los casos no contemplados como excepción en el presente artículo,
corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de
conformidad relativa a la transferencia internacional de datos personales. Para el efecto,
el Superintendente queda facultado para requerir información y adelantar las diligencias
tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de
la operación.
Parágrafo 2°. Las disposiciones contenidas en el presente artículo serán aplicables para
todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008.
TÍTULO IX
OTRAS DISPOSICIONES
Artículo 27. Disposiciones especiales. El Gobierno Nacional regulará lo concerniente
al Tratamiento sobre datos personales que requieran de disposiciones especiales. En todo
caso, dicha reglamentación no podrá ser contraria a las disposiciones contenidas en la
presente ley.
Artículo 28. Normas corporativas vinculantes. El Gobierno Nacional expedirá la
reglamentación correspondiente sobre Normas Corporativas Vinculantes para la
certificación de buenas prácticas en protección de datos personales y su transferencia a
terceros países.
Artículo 29. Certificación de antecedentes judiciales. El Departamento
Administrativo de Seguridad, DAS, o quien ejerza esta función, mantendrá y actualizará
los registros delictivos y de identificación nacional de acuerdo con los informes y avisos
que para el efecto deberán remitirle las autoridades judiciales, conforme a la Constitución
Política y la ley.
Al expedir certificados judiciales por petición ciudadana, el Departamento Administrativo
de Seguridad o quien ejerza esta función, se abstendrá de incluir como antecedente penal
los registros delictivos del solicitante cuando este haya cumplido su pena o la misma haya
prescrito.
Parágrafo 1°. Los archivos del Departamento Administrativo de Seguridad, o de quien
ejerza esta función en esta materia, tendrán carácter reservado y en consecuencia solo se
expedirán certificados o informes de los registros contenidos en ellos.
Parágrafo 2°. El Departamento Administrativo de Seguridad, DAS, o quien ejerza esta
función, garantizará la disponibilidad de manera gratuita y permanente la información
electrónica sobre el Certificado de Antecedentes Judiciales para ser consultados por el
titular, interesado o por terceros a través de la página web de la entidad y los mismos
gozarán de plena validez y legitimidad.
Parágrafo 3°. El certificado judicial expedido a solicitud de los peticionarios de sus
propios registros, no será válido en aquellos cargos donde se requiera la carencia total de
antecedentes.
En este caso, cuando las entidades de la Administración Pública requieran la presentación
de los antecedentes judiciales, deberán dar cumplimiento estricto a lo señalado en el
artículo 17 del Decreto 2150 de 1995 o la norma que la modifique, complemente, adicione
o aclare.
Artículo 30. Bases de datos de inteligencia y contrainteligencia. Las bases de datos o
archivos de las entidades que desarrollan actividades de inteligencia y contrainteligencia
deberán guiarse estrictamente por los parámetros de tratamiento de datos establecidos
en el Plan Nacional de Inteligencia y por la Junta de Inteligencia Conjunta, así como en las
demás normas legales.
En todo caso la autorización de una orden de operaciones o misión de trabajo, no podrá
ser emitida por un servidor público que ostente un nivel distinto al de directivo, comando
o su equivalente.
Los documentos, información y equipos técnicos de los organismos que desarrollen
labores de inteligencia o contrainteligencia estarán amparados por la reserva legal por un
término máximo de 40 años y tendrán carácter de información reservada según el grado
de clasificación que corresponda en cada caso.
Parágrafo. El servidor público que decida ampararse en la reserva legal para no
suministrar información a un titular, deberá hacerlo motivadamente, señalando la
razonabilidad y proporcionalidad de su decisión al requirente. En cualquier caso, frente a
las decisiones señaladas procederán los recursos y acciones legales y constitucionales
pertinentes.
No se podrá oponer la reserva legal a los requerimientos de los jueces y otras autoridades
competentes.
Artículo 31. Valor probatorio y reserva de los informes de inteligencia y
contrainteligencia. En ningún caso los informes de inteligencia tendrán valor probatorio dentro
de los procesos judiciales, pero su contenido podrá constituir criterio orientador para el
desarrollo de los actos urgentes que desarrolla la policía judicial en materia penal. En todo caso
se garantizará la reserva para proteger la identidad de quienes son objeto de dichos informes, de
los funcionarios de inteligencia y contrainteligencia, sus métodos y fuentes.
Artículo 32. Régimen de transición. Las personas que a la fecha de entrada en vigencia de la
presente ley ejerzan alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6)
meses para adecuarse a las disposiciones contempladas en esta ley.
Artículo 33. Derogatorias. La presente ley deroga todas las disposiciones que le sean
contrarias a excepción de aquellas contempladas en el artículo segundo.
Artículo 34. Vigencia. La presente ley rige a partir de su promulgación.
3. Decisión
Primero.-Declarar EXEQUIBLE, por su aspecto formal, el proyecto de ley Estatutaria No. 046/10 Cámara – 184/10 Senado “por la cual se dictan disposiciones generales para la protección de datos personales”, salvo los artículos 29, 30 y 31 que se declaranINEXEQUIBLES por vicios de procedimiento en su aprobación. Segundo.-Declarar EXEQUIBLES los artículos 1, 2, 3, 4, 5, 7, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 21, 22, 24, 25, 28, 32, 33 y 34 del proyecto de ley, de conformidad con lo expuesto en la parte motiva de esta providencia. Tercero.- Declarar EXEQUIBLE el artículo 6 del proyecto de ley objeto de revisión, excepto la expresión “el Titular haya hecho manifiestamente públicos o”, del literal d) que se declara INEXEQUIBLE. Cuarto.- Declarar EXEQUIBLE el artículo 8 del proyecto de ley objeto de revisión, excepto la expresión “sólo”, del literal e) que se declara INEXEQUIBLE. De la misma manera, el literal e) debe entenderse en el sentido que el Titular también podrá revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la referida base de datos. Quinto.- Declarar EXEQUIBLE el artículo 19 del proyecto de ley objeto de revisión, bajo el entendido que la Delegatura de Protección de Datos Personales, en ejercicio de sus funciones deberá actuar de manera autónoma e independiente. Sexto.- Declarar EXEQUIBLE el artículo 20 del proyecto de ley, a excepción del literal a) que se declara INEXEQUIBLE. Séptimo.- Declarar EXEQUIBILE el artículo 23 del proyecto de ley, salvo la expresión “a favor de la Superintendencia de Industria y Comercio”, del literal a) que se declara INEXEQUIBLE. Octavo. -Declarar EXEQUIBLE el artículo 26 del proyecto de ley, salvo la expresión “necesarias o” contenida en el literal f), que se declara INEXEQUIBLE. Noveno.- Declarar INEXEQUIBLE el artículo 27 del proyecto de ley objeto de revisión.
3. Fundamentos de la decisión
Examinado el trámite surtido por el Proyecto de Ley Estatutaria Número 184 de 2010 Senado, 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales”, la Corte constató el
cumplimiento de los requisitos constitucionales (arts. 152, 153, 154, 157, 158, 159, 160, 161 de la C.P.) y legales (arts. 117, 119, 141, 144, 208 de la Ley 5ª de 1992), que se exigen de una ley de naturaleza estatutaria, en cuanto cumplió en debida forma con: a) la publicación del proyecto en la Gaceta del Congreso antes de darle curso en la comisión respectiva; b) el trámite y aprobación del proyecto de ley estatutaria en una sola legislatura; c) la aprobación por la mayoría absoluta de las comisiones y plenarias de cada Cámara; d) el acatamiento de las pautas fijadas en el artículo 160 de la Constitución Política para los debates legislativos, en lo relativo a la publicación de las ponencias, el lapso de 8 días entre primero y segundo debate y de 15 días entre la aprobación del proyecto en una cámara y el inicio del debate en la otra; e) la realización del aviso previo en distinta sesión en la que se discutiría y votaría el proyecto, tanto en las respectivas comisiones constitucionales permanentes, como en las plenarias del Senado de la República y Cámara de Representantes; d) el respeto de los principios de unidad de materia, identidad flexible y consecutividad y e) la remisión del proyecto de ley a la Corte Constitucional para su control integral de constitucionalidad antes de la sanción presidencial y su promulgación.
Sin embargo, tres normas del proyecto, los artículos 29, 30 y 31, fueron declarados inexequibles por violación del principio de consecutividad previsto en el artículo 157 de la Constitución. El artículo 29, que establecía una regulación exhaustiva sobre los datos relacionados con los antecedentes judiciales y la manera como deben plasmarse en los certificados expedidos por el Departamento Administrativo de Seguridad –DAS-, observó la Sala que fue introducido en el tercer debate por la Comisión Primera del Senado de la República, sin que ese asunto hubiera sido discutido en la Cámara de Representantes. Si bien durante el segundo debate en la Plenaria de la Cámara se mencionó el asunto de las bases de datos en materia penal y de investigación judicial, a juicio de la Corporación, ello no constituyó debate sobre la inclusión de una regulación en la materia, sino, por el contrario, sobre la decisión de exceptuarlos del ámbito de aplicación del proyecto de ley. Sólo hasta el tercer debate se planteó por primera vez la inclusión de dicha regulación, específicamente durante la audiencia pública convocada por la Comisión Primera del Senado de la República, de manera que lo regulado en el artículo 29 fue aprobado únicamente en dos debates, desconociendo la regla constitucional de los cuatros debates que exige el artículo 157.
Igualmente, los artículos 30 y 31 se declaran inexequibles por violación del principio de consecutividad. El tema en ellos regulado, esto es, el tratamiento de los datos personales para inteligencia y contrainteligencia, la Sala concluyó que no fue siquiera mencionado en los debates de la Cámara de Representantes –primer y segundo debate-, ni en el debate realizado en la Comisión Primera del Senado de la República –tercer debate-, surtiendo por tanto sólo un debate de los cuatro ordenados por los numerales 2 y 3 del artículo 157 Superior.
En relación con el contenido del proyecto de ley, la Sala encontró que en términos generales se ajusta a la Carta; sin embargo, hizo las siguientes precisiones y declaraciones puntuales de inexequibilidad:
Para comenzar, y después de reiterar que el derecho fundamental al habeas data es diferente al derecho a la intimidad, al buen nombre y a la información, la Sala concluyó que el proyecto de ley introduce un modelo híbrido de protección en el que confluyen, en primer lugar, una ley estatutaria general con reglas comunes y mínimas para el tratamiento de todo tipo de dato personal y que prevé un órgano, que debe actuar de forma autónoma e independiente, encargado de hacer cumplir la ley general, resolver controversias y fijar políticas públicas en la materia; y en segundo lugar, leyes sectoriales complementarias que establecen reglas adicionales aplicables al tratamiento de datos con características especiales y cuyo procesamiento genera tensión entre el derecho al habeas data y otros principios constitucionales, como la soberanía nacional, el orden público, la libertad de prensa, etc.
Una vez delineado el modelo de protección, la Corte procedió a examinar la constitucionalidad del articulado. En relación con el artículo 1°, la Sala concluyó que era exequible, pues refleja el contenido de las disposiciones del articulado. Respecto de la mención del artículo 20 constitucional, la Sala reconoció que el proyecto sí regula los derechos contenidos en dicho precepto, pero solamente en el punto que convergen o entran en tensión con el derecho al habeas data, es decir, la Corte precisó que el proyecto bajo revisión no pretende una regulación exhaustiva del artículo 20 de la Carta; su pretensión es la regulación del habeas data.
Por otra parte, la Sala encontró que el artículo 2 se ajusta a la Carta, ya que delimita adecuadamente el ámbito de aplicación territorial, subjetivo y material de la futura ley. No obstante, se precisó que a las excepciones previstas en esta disposición le son aplicables los principios enunciados en el artículo 4, y que además aquellas deben ser reguladas mediante otras leyes estatutarias sectoriales con estricta sujeción al principio de proporcionalidad.
La Corte también declaró exequible el artículo 3 sobre definiciones. Al respecto, recordó que éstas son construcciones del legislador que no provienen de la naturaleza ni de la ciencia, sino de su razonabilidad y amplia libertad de configuración. Precisó que en tanto construcciones legislativas, el juez constitucional, en el evento de dudas, puede emplear los criterios de interpretación constitucional para ajustar esos enunciados a las exigencias constitucionales con el fin de preservar la voluntad democrática, en observancia del principio de conservación del derecho. Por esta razón, una vez analizó la definición que el proyecto de ley hace del responsable del tratamiento, la Sala consideró que comprende a sujetos pasivos del derecho tales como la fuente y los usuarios, razón por la que cada vez que el proyecto emplea ese término debe entenderse referido a todos estos agentes. En ese orden, se explicó que los deberes, el régimen sancionatorio y los procedimientos de petición y reclamos que se regulan en el proyecto cobijan igualmente a la fuente y a los usuarios del dato. Así mismo, se precisó que el término base de datos comprende los archivos, y que si bien las definiciones de dato personal y titular solamente hacen referencia a las personas naturales, la protección del habeas data eventualmente podrá extenderse a las personas jurídicas cuando sea necesario para garantizar los derechos de las personas naturales que las conforman.
En relación con el artículo 4, que establece los principios de legalidad, finalidad, libertad, veracidad o calidad, de transparencia, de acceso y circulación restringida, de seguridad y el principio de confidencialidad en materia de tratamiento de datos, la Corporación consideró que es constitucional, pero interpretando que a los principios enunciados se integran otros principios como los de temporalidad, necesidad, incorporación e individualidad, desarrollados por la jurisprudencia constitucional. Respecto de los artículos 5 y 6 sobre definición de datos sensibles y excepciones a la prohibición de su tratamiento, la Corte consideró que se ajustan a la Constitución, salvo la expresión “el Titular haya hecho manifiestamente públicos o”, del literal d), el cual fue declarado inexequible, por cuanto pasa por alto que el hecho de que un dato sensible se haga público no lo convierte en un dato de naturaleza pública que cualquier persona pueda someter a tratamiento. El artículo 7, que hace referencia a los datos de los niños, niñas y adolescentes, se declaró exequible con las siguientes precisiones: la Sala indicó que el inciso segundo debe interpretarse en el sentido de que el tratamiento de los datos personales de los menores de 18 años, al margen de su naturaleza, pueden ser objeto de tratamiento, siempre y cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales e inequívocamente responda a la realización del principio de su interés superior. Además, se señaló que la opinión del menor de 18 años siempre se debe tener en cuenta para el tratamiento de sus datos personales. En relación con el contenido del inciso tercero, referente al término de seis (6) meses que se le otorgó al Gobierno Nacional para que ejerza su potestad reglamentaria, se precisó que no puede entenderse como un término de caducidad para el
ejercicio de dicha potestad. Frente a los derechos de los Titulares de los datos consagrados en el artículo 8, la Corte señaló que se ajustan a la Carta, pues son una manifestación de los principios que rigen el proceso informático. Sin embargo, condicionó la constitucionalidad del literal e), referida a la revocatoria del dato, en el entendido que esa facultad no sólo procede por el mal uso que se haga de los datos, sino en virtud de la solicitud libre y voluntaria del Titular del dato, cuando no exista una obligación legal o contractual que imponga su permanencia en la base de datos. En consecuencia, declaró INEXEQUIBLE el vocablo “sólo” del literal e).
Al estudiar la constitucionalidad de los artículos 9 y 10, reiteró que todo tratamiento de datos personales debe hacerse con la autorización expresa, previa e informada por parte del Titular del dato, y la autorización sólo puede prescindirse en los casos consagrados en el artículo 10, es decir: (i) cuando la información es requerida por autoridad pública o judicial, siempre cuando se interprete que se encuentra sometida a los principios establecidos por la Ley Estatutaria; (ii) respecto de datos de naturaleza pública y relacionados con el registro civil de las personas; (iii) en los casos de urgencia médica o sanitaria. Sobre esta última hipótesis, precisó la Corte en las consideraciones de la providencia que tal excepción sólo opera en
los casos en que dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas; y (iv) para el tratamiento de información con fines históricos, estadísticos o científicos.
Los artículos 11 y 12, referidos a la manera como debe entregársele la información al Titular y lo que debe comunicársele en el momento que suministra el dato para su Tratamiento, también fueron declarados exequibles. Sin embargo, en las consideraciones se precisó que en todas las situaciones debe advertirse que las preguntas hechas son voluntarias. Igualmente, el artículo 13 se declaró exequible, advirtiendo que en todos los casos todas las personas que por virtud de la Ley pueden acceder a un dato se encuentran sometidas a los límites establecidos por el proyecto de ley.
En cuanto a los procedimientos de consulta, reclamos y requisitos de procedibilidad, contemplados en los artículos 14, 15 y 16, se encontraron exequibles por tratarse de mecanismos para hacer efectivas todas las garantías reconocidas al titular del dato.
Frente a los artículos 17 y 18, que enumeran los deberes de los responsables y encargados del tratamiento del dato, se precisó que: (i) el concepto de responsable comprende la fuente y al usuario, razón por la que los deberes de aquel son también exigibles a estos dos últimos sujetos; (ii) esos deberes no son taxativos sino enunciativos desde el punto de vista de lo que puede exigir el titular del dato como sujeto activo del derecho al habeas data;(iii) sin embargo, la lista sí debe entenderse como taxativa desde el punto de vista sancionatorio, es decir, la lista debe delimitar las conductas cuyo incumplimiento da lugar a las sanciones administrativas que se contemplan en el mismo proyecto de ley. En relación con los deberes del encargado del tratamiento, se indicó expresamente que a éste también le corresponde cerciorarse de que existe autorización expresa del titular para el procesamiento correspondiente y que éste se ajusta a la finalidad que le fue informada a aquél.
El artículo 19, que crea una autoridad de protección del dato bajo la forma de una nueva Delegatura de la Superintendencia de Industria y Comercio encargada de hacer cumplir la ley general, vigilar y promover la protección del dato, sancionar tratamientos ilegales,resolver controversias y fijar políticas públicas en la materia, fue declarado exequible bajo el entendido que dicho órgano debe actuar de forma autónoma e independiente. Igualmente, se señaló que el Gobierno Nacional, al momento reglamentar esa dependencia, debe asegurarse de que se conforme por personas con un conocimiento técnico y que hagan parte de carrera administrativa de la entidad.
En cuanto a los recursos previstos para esa nueva Delegatura, se declaró INEXEQUIBLE el literal a) del artículo 20 que destinaba directamente a la Superintendencia de Industria y Comercio las multas que se impusieran por el desconocimiento de los deberes enumerados en los artículos 17 y 18. A juicio de la Sala, las multas son recursos no tributarios que deben
ingresar al Presupuesto General de la Nación sin una destinación específica, en los términos del artículo 359 constitucional.
En relación con el régimen sancionatorio que se consagra en los artículos 22, 23 y 24, se consideró que es desarrollo del derecho sancionador administrativo, frente al cual la jurisprudencia constitucional ha sido constante en señalar que, pese a ser una manifestación del jus punendi del Estado, los principios que lo rigen no puede ser considerados con la misma rigurosidad que en el derecho penal. En consecuencia, la Corporación concluyó que el procedimiento y las sanciones consagrados en dichos preceptos se ajustan a los principios de legalidad y tipicidad de la infracción y la sanción, razón por la cual las disposiciones fueron declaradas exequibles, salvo la expresión “a favor de la Superintendencia de Industria y Comercio” contenida en el literal a) del artículo 23, que fue declarada INEXEQUIBLEcomo consecuencia de la declaración de inexequibilidad del literal a) del artículo 20.
Igualmente, se aclaró el parágrafo del artículo 23, en el sentido de que la Superintendencia de Industria y Comercio sí podrá sancionar las entidades públicas porque su competencia sancionatoria tiene la finalidad de proteger al titular del dato personal, mientras la Procuraduría protege, en especifico, la función pública; es decir, las sanciones que pueden imponer las dos entidades tienen origen en el incumplimiento de deberes de naturaleza distinta. En consecuencia, para la Corte, la facultad sancionatoria que se regula en dicho artículo es tanto para las entidades públicas como para las privadas, como sujetos pasivos del derecho al habeas data. En consecuencia, la Superintendencia podría imponer multas, suspensión de la operación, cierre temporal y definitivo, sanciones que están relacionadas directamente con el dato, mientras la Procuraduría dirigirá su investigación hacia la conducta del funcionario público responsable que incumple sus deberes funcionales.
También se declaró la exequibilidad del artículo 25 relacionado con el Registro Nacional de Datos, pero se aclaró que es obligatoria la inscripción de todas la bases de datos públicas y privadas, con el fin de centralizar su consulta y permitir que los titulares del dato puedanconocer de forma rápida y ágil las bases de datos que hacen tratamiento de sus datos y ejercer así sus derechos ante ellas.
En relación con la transferencia internacional de datos consagrada en el artículo 26, la Corte determinó su constitucionalidad, salvo la expresión “necesarias o” contenida en el literal f), la cual se declaró inexequible por ser un concepto indeterminado y ambiguo que puede afectar el derecho al habeas data al momento de su aplicación. En relación con el literal b), se advirtió que debe interpretarse en el sentido que la facultad de autorizar la transferencia de datos de carácter médico recae no sólo en su titular sino también en sus familiares o representante legal en la hipótesis allí prevista. Respecto de los literales c), d) y e), la Corporación explicó que la transferencia sólo procederá cuando medie la autorización previa y expresa del titular de los datos.El artículo 27 fue declarado inexequible , por cuanto la regulación del tratamiento de datos especiales, como por ejemplo, los de seguridad e inteligencia, judiciales y penales, entre otros, le compete de forma exclusiva al legislador, en otros términos, la Corte precisó que existe una reserva legal en
la materia. En ese orden, la Sala consideró que el Gobierno Nacional no tiene competencia para regular el tratamiento de los datos especiales. Finalmente, los artículos 28, 32, 33 y 34 se encontraron ajustados a la normatividad constitucional y en consecuencia, fueron declarados exequibles. 4. Salvamentos y aclaraciones de voto
La magistrada María Victoria Calle Correa y los magistrados Jorge Iván Palacio Palacio y Luis Ernesto Vargas Silva se apartaron de lo decidido por la Corte y su salvamento de voto lo argumentaron así:
Las leyes estatutarias que regulan los derechos fundamentales tienen una función de primer orden en el constitucionalismo colombiano, en tanto conforman parámetro de constitucionalidad para el control judicial de leyes posteriores que regulen la materia respectiva. En ese sentido, debe tratarse de regulaciones que, aunque no deben llegar al punto de vaciar las competencias del legislador ordinario y de los reglamentos, en todo caso deben determinar los aspectos centrales del derecho fundamental regulado. Como lo demostró en buena parte y de manera exhaustiva la ponencia original, en el caso analizado este objetivo no es cumplido en el presente caso, puesto que el proyecto de ley estatutaria dejó de regular al menos tres aspectos que están estrechamente vinculados con la garantía y protección del derecho al habeas data, a saber: (i) los deberes de fuentes y usuarios del dato personal; (ii) la existencia de una autoridad de control de la actividad de tratamiento de datos personales, con carácter independiente; y (iii) la regulación de una tipología de datos personales que sirva para otorgar niveles adecuados de vigencia del derecho al habeas data, de acuerdo con la naturaleza jurídica de la información personal objeto de tratamiento. Además, el legislador estatutario al desarrollar los conceptos constitucionales debe tener como base el texto constitucional y respetar su orientación. No puede por tanto mezclar conceptos que la Constitución expresamente distingue. Agregaron que la jurisprudencia constitucional precedente, de forma acertada y extensa, había identificado que la interpretación adecuada del artículo 15 de la Constitución llevaba a concluir, sin discusión alguna, que el derecho al habeas data se predica de las distintas etapas de acopio, tratamiento, circulación y uso del dato personal, en los precisos términos de esa norma superior, razón por la cual es imperativo que respecto de cada uno de los agentes que participan de este proceso, el titular del dato tuviera derechos y competencias de conocimiento, actualización y rectificación de su información. El proyecto de ley estatutaria objeto de examen, a partir de una errónea e incompleta adopción del modelo europeo de protección de datos personales, omitió toda referencia a las obligaciones y sanciones predicables de fuentes y usuarios del dato personal. Esta situación genera un evidente déficit de protección del derecho al habeas data, puesto que el titular de la información personal queda carente de potestades para lograr la protección y garantía de sus derechos fundamentales frente a esos agentes. Este déficit no puede ser solucionado, como resolvió la mayoría, a partir de una analogía entre los deberes de responsables y encargados, de un lado, y fuentes y usuarios, del
otro. Esto debido a que el catálogo de obligaciones que ofrece el proyecto de ley estatutaria es específico y muchos de los deberes allí previstos no pueden ser materialmente exigibles a las fuentes o a los usuarios. Esto se evidencia, por ejemplo, en la imposibilidad que el usuario del dato procesado guarde prueba del consentimiento del titular. De otro lado, menos admisible resulta extender el régimen sancionatorio a fuentes y usuarios, pues ello contradeciría la naturaleza taxativa que impone el principio de legalidad, propio del derecho sancionador. En segundo lugar, el inadecuado “trasplante normativo” que hizo el legislador estatutario, llevó a que se fijara como autoridad de control para el tratamiento de datos personales a la Superintendencia de Industria y Comercio, entidad perteneciente a la Rama Ejecutiva del Poder Público. Además de las incontables dificultades prácticas que eso genera, la ausencia de una autoridad independiente es manifiestamente contraria al principio de imparcialidad que informa a la función pública, por la sencilla razón que buena parte del tratamiento de datos personales es efectuado por autoridades estatales, tanto a nivel nacional como territorial. Esto exigía que la autoridad colombiana de protección de datos, como sucede con sus pares en el derecho comparado, no hiciera parte del Ejecutivo. En tercer término, la ausencia de una tipología de datos personales suficiente y detallada, genera un nuevo déficit de protección del derecho al habeas data, debido a que las posibilidades de transmisión de información personal, distinta a los datos sensibles, se torna en ilimitada e inasible de restricción alguna, lo que limita desproporcionadamente las garantías de conocimiento, actualización y rectificación del dato personal, de que trata el artículo 15 de la Constitución. Para los magistrados Calle Correa, Palacio Palacio y Vargas Silva, la decisión adoptada por la Corte se muestra especialmente problemática. Avalar una normatividad estatutaria manifiestamente incompleta y contradictoria, como en buena hora lo planteaba la ponencia en su proyecto original, hace que esa legislación, antes que concurrir en la eficacia del derecho al habeas data, dé lugar a profundas dificultades interpretativas y, en general, a una injustificada disminución del ámbito de protección del derecho al habeas data. La exequibilidad de la norma estatutaria analizada implica, entonces, que la Corte declara la validez constitucional de una garantía deficitaria del mencionado derecho fundamental. Los datos personales de los colombianos, en tanto expresión de su individualidad como sujetos libres y autónomos, quedan altamente expuestos a toda clase de intereses, tanto nacionales como extranjeros –merced esto último de la recurrente transmisión internacional de datos- en abierta contravía con lo ordenado por el Constituyente. Una situación de este carácter resulta inadmisible, pues lo aquí decidido será base para la decisión acerca de la constitucionalidad de las normas legales y reglamentarias que se profieran en el futuro respecto al tratamiento de datos personales. Para los magistrados disidentes no deja de ser paradójico que la legislación estatutaria y la jurisprudencia constitucional se muestren más garantistas
respecto de la protección del derecho al habeas data frente a los datos personales de contenido financiero, comercial y crediticio; pero que no tengan similar consideración con un asunto mucho más trascendente como lo es el ahora objeto de control judicial: la regulación del derecho al habeas data frente a las diferentes modalidades de tratamiento de información personal. En criterio de los mencionados Magistrada y Magistrados, la decisión adoptada por la Corte en esta oportunidad desdice de una larga y prolija actividad jurisprudencial en materia de habeas data, cuidadosamente construida por este Tribunal por más de quince años. Este precedente, que muchas voces jurídicas autorizadas consideran pionero en el ámbito latinoamericano, resulta injustificada e innecesariamente disminuido y alterado por la sentencia que ahora profiere la Corte. Estas graves y evidentes dificultades se hubieran solventado fácilmente a través de la declaratoria de inexequibilidad de la norma estatutaria. Esto con el fin que el Congreso, foro natural del debate democrático y órgano titular de la amplia potestad de configuración normativa, regulara nuevamente la materia, a fin de cumplir con los estándares constitucionales mínimos que, se insiste, no reúne la norma acusada.
Adicionalmente, los magistrados María Victoria Calle Correa, Jorge Iván Palacio Palacio y Luis Ernesto Vargas Silva aclararon el voto, en relación con las decisiones de inexequibilidad de los artículos 27, 29, 30 y 31 del proyecto de ley estatutaria, por cuanto si bien comparten la decisión adoptada en estos casos, mantienen su postura respecto de la inexequibilidad total del proyecto de ley estatutaria por las razones de orden estructural expuestas anteriormente, las cuales difieren de las que llevaron a declarar la inexequibilidad de las mencionadas normas por vicios de procedimiento en su formación.
Por su parte, el magistrado Mauricio González Cuervo salvó parcialmente el voto respecto de la decisión de inconstitucionalidad del artículo 27 del proyecto de ley estatutaria revisado, toda vez que en su concepto, esta disposición se refiere al desarrollo de la potestad reglamentaria que le confiere al ejecutivo el numeral 11 del artículo 189 de la Constitución, para la cumplida ejecución de leyes. Observó que la pretensión de regulación integral de las leyes estatutarias, no se traduce necesariamente en que el legislador deba prever todos y cada unos de los aspectos técnicos, específicos instrumentales propios de la ejecución de la ley, para lo cual está prevista precisamente la facultad reglamentaria. Indicó que el propio artículo 27 advierte que en todo caso, dicha reglamentación no podía ser contraria a las disposiciones contenidas en la presente ley. A su juicio, si en gracia de discusión, se llegara a interpretar como una facultad de regulación de aspectos no previstos en la ley estatutaria, la decisión ha debido ser de exequibilidad condicionada, de manera que se excluyera la interpretación contraria a la Constitución y no la declaración de inconstitucionalidad.
JUAN CARLOS HENAO PÉREZ
Presidente